»Sag mir, wo du stehst« – welche Rolle und Verantwortung haben die CISOs der Zukunft?
CIO und – sofern vorhanden – CDO (Chief Digital Officer) treiben den digitalen Wandel voran, die Fachbereiche agieren auch in ähnlichen Gewässern. Die »klassische« IT ist erneut der Getriebene – all die neuen (und alten) Akteure öffnen damit unzählige Baustellen, die es abzuarbeiten gilt, von der Überarbeitung der IT-Architektur über die Änderung der Prozesse bis hin zu einer neuen Provider-Strategie. Neue Technologien müssen eingebunden werden, die Compliance-Anforderungen steigen durch die gesetzlichen Vorgaben (Stichwort: KRITIS) immer stärker. So viele technologische, prozessuale oder auch organisatorische Änderungen sich durch die Digitalisierung auch ergeben, mindestens genauso viele Bedrohungen, Schwachstellen und damit verbundene Risiken für die Informationssicherheit (ISEC) ergeben sich für die Unternehmen. Damit umzugehen, wird die große Herausforderung für die (Chief) Information Security Officers (CISOs) in den kommenden Jahren.
Der Großteil der Informationssicherheitsorganisationen ist bisher klassisch beim CIO angesiedelt. Dadurch kann sich ein CISO auch immer nur so weit bewegen, wie es die Organisation auch für den CIO zulässt. Die IT wird zukünftig immer mehr zum bestimmenden Faktor der Geschäftsprozesse, Informationen werden zu dem bedeutsamsten Wirtschaftsgut. Dafür muss der CISO den technikgetriebenen Ansatz aufgeben und die Informationssicherheitsstrategie des Unternehmens umsetzen [1]. In der Folge muss auch die Position des CISOs gestärkt werden, im Optimalfall als Stabsstelle mit einer eigenen Organisationsstruktur, ähnlich der vergleichbaren »Nachbarfunktionen« wie Revision, Risikomanagement, Justiziar und Datenschutz.
Gleichzeitig müssen sich aber auch die Inhaber der Rollen, die CISOs selbst, von dem subalternen, technikorientierten Eigenbild loslösen und eine Managementperspektive auf das Thema Sicherheit einnehmen. Dazu gehört es, das – durch die gängigen Normen herausgebildete – Selbstverständnis des Richtliniensetzers und Kontrolleurs in Richtung eines »Lotsen« für die Fachbereiche zu entwickeln, damit das Unternehmen die Untiefen der Informationssicherheit sicher umschiffen kann. Gleichzeitig sind dadurch CISOs immer häufiger gefordert, Fachbereichs- und Management-kompatibel zu kommunizieren und die Lage des Unternehmens aus ISEC-Sicht auch entsprechend berichten zu können.
In der Folge muss der CISO die folgenden Aspekte seiner Tätigkeit handhaben:
- Welchen Verantwortungsbereich habe ich?
- Wie integriere ich mich und meine CISO-Organisation in das Management?
- Wie kann ich eine enge Zusammenarbeit mit meinen »C«-Kollegen sicherstellen, vor allem hinsichtlich klarer Entscheidungs- und Eskalationswege?
- Wie kann ich die CISO-Organisation verbessern, insbesondere hinsichtlich der zwangsläufig entstehenden Fähigkeitslücken?
- Wie etabliere und pflege ich die Arbeitsbeziehungen mit den »Nachbar-Ressorts«?
Digitalisierung erfordert Prozesse über die IT hinaus. Die Zielgruppen für Vorgaben werden größer und damit auch der Verantwortungsbereich des CISO, das heißt, Schulungen müssen differenzierter aufgebaut, Vorgaben zielgruppenspezifisch angepasst und eine größere Anzahl an Risiken identifiziert, bewertet und gegebenenfalls Maßnahmen zur Minderung ergriffen werden. Wenn im Unternehmen Informationssicherheit gelebt wird, muss dies auch durchgängig in allen relevanten Bereichen geschehen. Dass sich beispielsweise die Personalabteilung im Klaren über den Schutzbedarf der Mitarbeiterdaten ist, erscheint selbstverständlich. Aber ist sich auch der Vertrieb dessen bewusst? Können Informationen über Leads, Opportunities, geplante Budgets, Adressen einfach so in einem CRM in der Cloud abgelegt werden? Ist immer klar, wer wann auf welche Informationen Zugriff hat?
Gerade für Bereiche, welche bisher eher wenig Berührungspunkte mit dem Thema Informationssicherheit hatten, kann dies deutliche Änderungen im Prozess nach sich ziehen: beispielsweise jährlich den Schutzbedarf aller im Prozess verarbeiteten Informationen festzustellen. Was passiert, wenn die Daten verfälscht sind? Was geschieht, wenn sich Unbefugte Zugriff auf Vertriebs- oder Prognosedaten verschaffen? Wo dürfen diese Daten eigentlich abgelegt werden?
Nur wenn der CISO um die Geschäftsprozesse der Fachbereiche und deren IT-Einbindung weiß, kann hier Abhilfe geschaffen werden. Dazu sind ein regelmäßiger Austausch und umfangreiche Schulungsmaßnahmen notwendig, die ein gemeinsames Verständnis für die Bedürfnisse beider Seiten schaffen sollten. Gleichzeitig muss sich der CISO auch bemühen, Verbündete auf Management-Ebene zu finden, um die Vorhaben auch führungsseitig implementieren zu können.
Der Dritte Mann – Risikomanagement über die Unternehmensgrenzen hinweg. Damit Unternehmen mit aktuellen Technologien und deren Potenzialen Schritt halten können, werden Pilotprojekte unumgänglich. Das Datenaufkommen in einem solchen Projekt ist zum Teil enorm, etwa bei Zählerdaten von Warm-/Kaltwasser sowie Heizung, welche in Echtzeit direkt übermittelt werden. Dabei werden Schnittstellen zu bestehenden Systemen, Zugriffsrechte oder neue Infrastruktur benötigt. In solchen Projekten ist es unerlässlich, bereits von Beginn an die Informationssicherheit einzubeziehen, um Fragestellungen etwa über mögliche Schwachstellen durch Systemkopplungen oder eventuell notwendige Downtimes zu berücksichtigen. Mit steigender Zahl solcher Projekte in den unterschiedlichsten Bereichen, wie Analytics bei der Kundengewinnung, intelligenter Sensorik bei Messstationen, Übertragung von Produktivdaten über öffentliche Netze oder Nutzung von AI beim Kunden-Support, steigt auch der Bedarf an Ansprechpartnern für die Informationssicherheit.
Aus Projekten entstehen auch regelmäßig operative Verbindungen zu Dritten, seien es Zulieferer, Berater oder Dienstleister. Die Menge an diesen unternehmensfremden Parteien wird sich zukünftig immer mehr steigern – und auch die mit diesen verbundenen Risiken. Nur ein Risikomanagement, das durch einen regelmäßigen Austausch mit Einkauf, Vertrieb, Legal und Finance in der Lage ist, zu bestimmen, von welchen Dritten welche Risiken ausgehen, kann zukünftig bestehen. Dazu gehören auch eine Art »Repository« an Verträgen und relevanten Compliance-Vorgaben. Zusätzlich ist die Einbindung des CISO in Einkaufsprozesse, beispielsweise für die Implementierung von Audits bei Zulieferern, notwendig.
Der CISO muss zukünftig Entscheidungen darüber treffen, wie genügend Informationssicherheitsressourcen bereitgestellt werden können, um diesem wachsenden Bedarf gerecht zu werden und nicht der Flaschenhals im Unternehmen zu werden. Dies kann eine Neuorganisation der Informationssicherheit im Unternehmen bedeuten oder auch den Einsatz anderer Methoden, wobei der immer bestehende Zielkonflikt aus angemessener Sicherheit bei effizientem Ressourceneinsatz noch verschärft wird.
Marcus Schwertz (l.), Manager,
Sebastian Eichler, Manager,
LEXTA GmbH
www.lexta.com
[1] Siehe auch manage it, 5-6/2017, Faktoren einer erfolgreichen ISEC-Strategie: Individuelle Informationssicherheitsstrategie